Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 3862 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Server Load Balancing newbie

tvliew
Hi All,

I would like to find out what are the proper steps into configuring the Astaro v7.505 to do server load balancing. Let me assume the following:

1. Astaro will act as a firewall between the public IP address ranges and the private IP address ranged. For example, eth0 connected to the WAN router (say, 202.1.1.2/28, def. gw 202.1.1.1). eth2 is connect to DMZ with an IP of 10.168.0.1/24. The servers we want to load balance is in the DMZ so we don't look at the LAN (which is on eth1)
2. On the DMZ, we have two servers, 10.168.0.10 and 10.168.0.11 (def. gw 10.168.0.1).
3. The servers will be hosting a HTTP service, accessible by everyone if they surf to http://202.1.1.3.

My assumed deployment steps would be as follows:

1. Create two equal web servers on 10.168.0.10 and 10.168.0.11.
2. Under Network > Interface > Additional Addresses, create an additional IP on 202.1.1.3 on the External Interface.
2. Under Network Security > Server Load Balancing, create a New load balancing rule where:

Service: TCP80
Virtual Server: 202.1.1.3
Real Servers: 10.168.0.10, 10.168.0.11
Check type: TCP
Check interval: 10
Automatic packet filter rules: CHECKED.

In this scenario it works.

Some questions in terms of flexibility in deployment:

1. If my Astaro WAN Interface is changed to 202.1.1.2/29, DMZ Interface to 202.1.1.9/29, additional static route on WAN Router added as follows (ip route 202.1.1.8/29 202.1.1.2) and I want everyone to access my web server as http://202.1.1.10 (real web servers would be on 202.1.1.11 and 202.1.1.12). What would be the configuration?

2. Rather than using HTTP, I would like to use HTTPS. Can I put a HTTPS certificate on the Astaro? I don't see this in the v7.505 WebAdmin. How do I go ahead with this?


This thread was automatically locked due to age.
  • 0
    1) You would need to update your configuration to reflect the changed IP addresses. Something that I don't see mentioned above, you would want to set a DNAT rule to forward incoming http/https requests to the virtual server address.  Also, if changing external addresses, remember to make modifications to your external DNS hosts records (preferrable to do at the start of a weekend, since it can take up to 72 hours for changes to fully propogate).
     
    2) With 7.5x, there is no true reverse-proxy, so the load balancing is simply splitting the requests. Certificates would be loaded on the web hosts.
     
    The new V8 does have a reverse web proxy. It is called Web Application Firewall. Using this, you could load a certificate. This new feature does require additional for-cost licensing and you should contact your reseller for pricing. Additional information on V8 and means of upgrading can be found at up2date.astaro.com.
  • 0 in reply to Scott_Klassen
    Hi Scott,

    Thanks.

    1. For this configuration, should there be a NAT rule? Some clients of mine, they hard-code their web servers in the DMZ with a public IP. So, if the ISP gives them a /28 range, the first half /29 is allocated on the WAN interface of the Astaro and the second half /29 is allocated on the DMZ interface.

    The ISP router would route the second half of the /29 to the firewall.

    So if I want to load balance two web server hard coded with the public IPs on the DMZ, I don't see how. For Astaro's server load balancer, must we always do NAT (following the example mentioned above)?

    2. For v7.5x, if certificates were to be installed on the web hosts, then the certs would be using the public IP 202.1.1.3 for both servers?


    1) You would need to update your configuration to reflect the changed IP addresses. Something that I don't see mentioned above, you would want to set a DNAT rule to forward incoming http/https requests to the virtual server address.  Also, if changing external addresses, remember to make modifications to your external DNS hosts records (preferrable to do at the start of a weekend, since it can take up to 72 hours for changes to fully propogate).
     
    2) With 7.5x, there is no true reverse-proxy, so the load balancing is simply splitting the requests. Certificates would be loaded on the web hosts.
     
    The new V8 does have a reverse web proxy. It is called Web Application Firewall. Using this, you could load a certificate. This new feature does require additional for-cost licensing and you should contact your reseller for pricing. Additional information on V8 and means of upgrading can be found at up2date.astaro.com.